English text below…

ZDNET.de hatte eine Datenpanne und aufgrund dieser Sicherheitslücke waren zig Daten von CNET.com und vielen anderen Domains einsehbar. CNET ist ein weltweites Unternehmen mit Zentrale in San Francisco. Haupteinnahmequellen sind Schaltung von Werbeanzeigen, Downloads und Preisvergleiche. CBS.com hat am 15.05.2008 Cnet gekauft für 1,8 Milliarden US$.

CNET hat einen Umsatz von 405 Millionen $, einen Gewinn von 176 Millionen $, 83 Millionen Seitenaufrufe pro Tag
und beschäftigt 2.700 Mitarbeiter. Sie sind vertreten in Südostasien, Australien, Japan, Taiwan, Frankreich, Deutschland und Nordamerika.

zu CBS und CNET gehören unter anderem die Domains:

cnet.com
cnet.co.uk
zdnet.de
NEWS.com
Gamecenter.com
Download.com
ew.com (Entertainment weekly.com)
Kids.com
Events.com
Chat.com
Radio.com
TV.com
MP3.com
Gamespot.com
computers.com
help.com
com.com (Quelle: Wikipedia)

Den Rest erklärt das Screencast Video…

ZDNET.de with security gap

This video demonstates the security gap from ZDNET.de

You can see that all data from CNET.com and the whole company could be seen via ftp access. No hacking, no brute force attack or something else. Just the simple Internet Explorer 6. There were dokuments about:

• financial data
• signed doks
• adress doks
• internal mails
• privat photos
• privat videos
• original hp backgrounds
• and tons more…

Facebook hat leider noch mehr zu bieten wie einfach nur Social Media für das einfache und heitere Vernetzen von Usern untereinander. Es tauchen jetzt immer wieder vermehrt Gruppen auf die sich “pro rape” oder “against rape” nennen. Also für Vergewaltigungen oder gegen Vergewaltigungen.

Hier wird unverholen geschwärmt das man es “cool” findet so einer Gruppe anzugehören, oder “man sich ja nicht so anstellen” solle. Also die Frau als solches ist ein Dreck Wert und schließlich sind wir hier ja im Internet, da darf Mann ja alles…

Viel schlimmer sind aber die postings von Usern die dort ganz offen Links veröffentlichen zu Vergewaltigungsvideos. So heißt ein Video “Russian Rape” und der Link innerhalb des Artikelbaums verweist auf einen Server in Russland wo tatsächlich ein Vergewaltigungsvideo zu finden ist. Meiner Ansicht nach ist das Video zwar “nur” gestellt, aber schlimm genug das solche Videos überhaupt auf Facebook gepostet werden. Denn es handet sich hier um einen Hardcore Streifen. Vergewaltigungsszene hin oder her…

Noch viel schlimmer ist aber das diese Links nicht gemeldet werden von anderen Usern in dieser Gruppe. Wie auf dem Screenshot zu sehen ist, wurde das Video am 02.06.2009 gepostet und von der ganzen Gruppe (171 Mitglieder!!!) kommt keiner auf die Idee den “Melden” Button zu drücken.

Obwohl Kommentare wie:

I couldn’t fucking believe it as I watched… and it seems people are accepting it as funny…

oder

Why would anyone want to see a rape film? Rape isnt about love, rape is violence. rape isnt about SEX its about violence and hurting someone. that is disgusting so NO I dont think anyone on an ANTI rape group would be interested in seeing your rape film.

zu lesen sind…

Hier noch ein Auszug der AGB von Facebook:

You will not post content that is hateful, threatening, pornographic, or that contains nudity or graphic or gratuitous violence.

Wonach eigentlich jedem klar sein sollte, das solche Videos bestimmt nicht dorthin gehören. Selbst Facebook scheint die Gruppen nicht gut genug zu überwachen, denn sonst wäre der Link schon lange verschwunden.

Infos zu: Boards, Carding, Market, DropZones und Cashout

Es begann damals mit harmlosen Hackerangriffen und endet nun im lukrativen Millionengeschäft

Die Untergrundwirtschaft ist in den letzten Jahren stark gewachsen. Man kann es an zahlreichen Beispielen festmachen: Wo in den 90er Jahren die Hacker damit prahlten, dass sie sich mit gefälschten Daten kostenlose Zugänge zu unzähligen Erotikangeboten im Internet verschafft haben, so brüsten sie sich heute damit, wie viele Kreditkartendaten sie mit ihrem Botnetz bereits gestohlen haben.

Bemerkenswert ist, dass sich diese Daten nun in klingende Münze verwandeln lassen. Inzwischen hat sich eine große und ausgereifte Untergrundwirtschaft entwickelt. Heute findet man dort alles, was es auch in einer richtigen Wirtschaftsumgebung gibt: Hersteller, Händler, Dienstleister, „Betrüger“ und Kunden. Sein Geld in dieser Schattenwelt zu verdienen, ist für viele nur ein Sprungbrett in die organisierte Kriminalität, obwohl (oder weil?) man zu keinem Zeitpunkt persönlichen Kontakt mit den Geschäftspartnern hat.

Die folgenden Zeilen geben einen Überblick über die Szene und ihre Strukturen. Dabei zeigt sich ganz eindeutig, dass es sich hier um keine harmlose Minderheit handelt, sondern um gut organisierte Betrüger und Diebe. Ebenfalls muss klargestellt werden, dass wirkliche Hacker in der heutigen Zeit viel für die Aufklärung der Bevölkerung tun und mittlerweile ein gewisses Ansehen genießen. Die besagten Cracker hingegen stehlen Daten, um sie zu ihren eigenen Gunsten gewinnbringend und illegal unter die zahlenden Kunden zu bringen.

Boards & Carding

Der Treffpunkt der Untergrund-Szene sind in der Regel sog. Boards oder aber auch einer der vielen IRC-Chaträume. Auf diesen Plattformen geht es in erster Linie ums Business, also um Botnetze, Spam, Datendiebstahl etc. Die Angebotspalette reicht vom Board für Script Kids, die gerne einmal Hacker spielen wollen, bis hin zu einschlägigen Boards, in denen offen mit Kreditkartendaten, gestohlener Ware und vielen weiteren „Waren“ gehandelt wird. Diese werden eindeutig mit einer kriminellen Absicht betrieben. Teilweise sind diese Händler sogar so dreist und bieten Ihre Dienstleistungen oder Waren sogar bei YouTube an:

Nachfolgend finden Sie also ein paar Beispiele von diverser „Carding Websites“ Carding = Begriff für Handel mit gestohlenen Kreditkarten.

Screenshot diverser Untergrund-Marktplätze (Underground Market, Foren etc.)

Bitte die Bilder anklicken um sie zu vergrößern

Market

Kurze Zusammenfassung und allgemeine Umschreibung solcher Websites, wie wir sie gerade gesehen haben: Im sog. Black Market, Dark Market oder einfach nur Market (auf gut deutsch „Marktplatz für alles, was illegal ist“) wird man fündig. Hier stehen z.B. folgende Dinge im virtuellen Schaufenster der Geschäfte: Gestohlene Kreditkartendaten, E-Mail-Adresslisten bis hin zu Botnetzen und vieles mehr. Wer zum Beispiel ein Botnetz kauft oder mietet, kann damit DDoS-Attacken durchführen, mit denen wiederum Webseiten überlastet werden können – und das bis zu dem Maße, dass sie nicht mehr erreichbar sind.

Schaut man sich in den Szene-Foren um, so werden teilweise sogar geklaute MySpace- und auch Twitter-Accounts verkauft oder zumindest gegen ein anderes Kleinod getauscht. Die Betrüger sind daran interessiert, möglichst viele persönliche Daten über das Opfer zu erlangen. Damit können sie dann die Identität des Opfers übernehmen und für ihre Zwecke nutzen.

Ein großer Teil des Handels mit Kreditkartendaten, PayPal- oder Ebay-Zugängen etc. wird über die Marktbereiche auf den Boards abgewickelt. Es gibt auch Boards, auf denen es ausschließlich um den Handel mit gestohlenen Waren geht. Der Ablauf beim Verkauf ist dabei wie folgt: Jemand bietet eine Ware, wie beispielsweise einen oder mehrere Ebay-Zugänge, zum Kauf an.

Dazu gibt er an, wie viel Geld er pro Account verlangt. Manchmal gewährt der Verkäufer sogar einen Mengenrabatt, wenn der Kunde alle oder mehrere Zugänge kaufen möchte. Zusätzlich teilt der Verkäufer fast immer mit, welche Art der Zahlung er akzeptiert. Fast immer melden sich die Interessenten dann mit einer Antwort im Forum oder sie nehmen direkt über die vom Verkäufer genannten Kontaktdaten Verbindung mit ihm auf, um den Kauf abzuwickeln.
Aber wie wird bezahlt? Virtuelles Geld, reales Geld: Hier werden mit dem Szene üblichen Bezahldiensten die Rechnung beglichen, wie zum Beispiel Western Union, Paysafecard, E- Gold oder auch Webmoney etc.

Was gibt es sonst noch zu kaufen auf im sog. Market?
Die Palette reicht von persönlichen Daten wie Name, Anschrift etc. über Bankverbindungen bis hin zu ganzen Datenbank-Dumps mit hunderten oder mehreren tausend User-Daten. Mit Datenbank-Dumps meine ich 1:1 Kopien von Datenbanken von Onlineshops oder auch von Foren, in denen die Benutzerdaten gespeichert sind.
Als Beispiel können wir auch eine Website besuchen, die sich GhostMarket nennt.

Kommen wir nun zu einem weiterem „sehr wichtigen“ Thema.

DropZones

Was stellen wir uns unter sog. DropZones vor?
Es gibt viele Ansätze, wie man am besten den sogenannten Cashout vornimmt. Beim Cashout geht es darum, wie man sein virtuelles Geld in echtes Geld verwandelt, ohne dass es nachvollziehbar ist, woher das Geld stammt. In vielen Fällen werden mit den gestohlenen Kreditkartendaten oder auch der virtuellen Währung, die der Kriminelle für das Versenden von Spam erhalten hat, im Internet Waren gekauft. Um sich bei der Übergabe der Waren nicht erwischen zu lassen, werden die Waren an Dropzones geliefert. Dort stehen Mittelsmänner bereit, die häufig per Spam-Mail als Kuriere oder Logistik-Fachkraft angeheuert wurden, um die Waren unverzüglich weiterzuleiten.

Dropzones sind daher bei den Verbrechern sehr gefragt, was zur Folge hat, dass in Untergrund-Plattformen diese Dienste vielfach angeboten werden. Der Ablauf folgt stets dem gleichen Schema: Nachdem die Ware bestellt wurde, wird sie an eine Adresse in Russland oder einem anderen Land verschickt. Dort wird die Ware dann an der Post abgeholt und weiter zur eigentlichen Zieladresse versandt. Der Mittelsmann lässt sich seine Leistung gut bezahlen, oftmals auch in der Form, dass für ihn Waren mitbestellt werden.

In der Vergangenheit wurden zudem mehrfach leerstehende Häuser und Wohnungen genutzt, im Untergrund als „Housedrop“ bezeichnet. An eine solche feste Adresse kann man sich auch die Post von Banken schicken lassen. Die dazu notwendigen Adressänderungen sind häufig online möglich. Ebenfalls zum Erfolg führt in der Regel, wenn der Ganove einfach in die Bank geht und einen freundlichen Angestellten bittet, die Adresse zu ändern. Die dazu benötigten gefälschten Dokumente kann er in Untergrundforen günstig erwerben. Verfügt er außerdem über sehr gute Nerven und betrügerische Überzeugungskraft, ist der Weg für Housedrops frei.

Eine weitere, insbesondere in Deutschland sehr beliebte Möglichkeit sind die Packstationen der Post. Gestohlene Zugangsdaten für solche Stationen können die Kriminellen in den Foren oder in den Shops des Untergrund-Marktes kaufen. Aber auch mit gefälschten Dokumenten können sie dort einen anonymen Packstation-Zugang eröffnen. An diesen Orten kann die Ware dann relativ gefahrlos und anonym abgeholt werden.

Hier mal ein Beispiel zu einer Unterhaltung über DropZones in einem Underground Forum:

Hier schreibt ein User, der sich cR@sh nennt, folgendes:

Hi!
Ich brauche demnächst einige Briefkastendrops, und habe mir gedacht, dass es in großen Mietwohnungen (Wohnsilos) auch mehrere leere Wohnungen geben müsste..
Wie ist eure Erfahrung mit BKDrops dieser Art? Wie kann ich das Abreißen des Zettels verhindern?
(außer Hausmeister bestechen ) Mein bisheriger (noch nicht getesteter) Drop ist in einem Mehrfamilienhaus, das scheinbar schon von jemandem als Drop genutzt wird (2 unbeschriftete Briefkästen sind penibel mit Werbung ausgefüllt)

Als Antwort darauf schreibt der User Revofire:

Wohnblocks sind immer gut, da kommste auch mal rein wenn die tür zu ist ( klingeln, schlüßel vergeßen oder so ) mir ist da aber auch schon mein paket geklaut worden
Wie kann ich das Abreißen des Zettels verhindern?
eigentlich garnicht, fällt mir jetzt auch nichts ein, es sei den du hast bissl zeit und beobachtest bissl,
jetzt ist urlaubszeit das scheinbar schon von jemandem als Drop genutzt wird (2 unbeschriftete Briefkästen sind penibel mit Werbung ausgefüllt ) das muss nichts heißen, die zeitungskids schmeißen da gerne mal ihr zeug rein, damit sie nicht soviel austragen müssen, da gibt es nähmlich so rentner denen langweilig ist die rufen gerne mal an wenn die prospekte im container finden;-)

Es folgten weitere Kommentare und Ratschläge zum Thema „DropZone“, auf die wir nicht noch näher eingehen wollen.

Preise für gestohlene Daten, bzw. Waren:

Es gibt aber weitaus mehr Daten und Dienstleistungen. Die Liste der Angebote ist sehr lang, hier nur ein kleiner Auszug:

• Gefälschte Ausweise/Führerscheine, abhängig von Qualität der Fälschung: 50 bis 2.500 Euro
• Bot-Datei – Preis nach Features und Programmierer sowie Größe des Botnetzwerkes: 20 bis 100 Euro
• Bot-Quellcode: 200 bis 800 Euro
• DDoS-Attacke pro Stunde (Um fremde Internetseiten lahmzulegen): 10 bis 150 Euro
• 1 Million Spam-Mails an spezielle Adressaten: 300 bis 800 Euro
• Datenbanken – für den Preis relevant sind genaue Inhalte und Umfang der Datenbank, es geht um den Kauf einer Datenbank: 10 bis 250 Euro
• Kreditkartendaten – Preise richten sich nach Vollständigkeit der Daten. Nur eine CC-Nummer und
• Datum sind nicht viel Wert. Je mehr Daten mitgeliefert werden, desto höher ist der Preis: 2 bis 300 Euro
• WoW-Account – je nach Umfang der Daten und Level der Charaktere im Account: 5 bis 30 Euro
• PayPal-Account – je mehr Daten vorhanden sind, desto höher ist der Preis: 1 bis 25 Euro
• E-Mail-Accounts mit privaten Mails (Preise variieren je nach Händler): 1 bis 5 Euro

Fazit: Die Masse machts. Wenn man das Geschäft mehrere Monate mit Millionen von Nummern und Datensätzen aktiv betreibt, so kommen stolze Sümmchen zusammen.

In eigener Sache, bzw. für unsere Leser:

Wenn Sie Fragen haben bzgl. Schutz vor Kreditkartenbetrug, wenn Sie selbst Opfer von Kreditkartebetrug wurden oder wenn Sie selbst auf Webseiten gestoßen sind, die mit Daten handeln … Sprechen Sie mit uns. Gerne können wir Ihre Informationen auch bei Bedarf „anonym“ veröffentlichen.

Google weiß sehr viel und je mehr Dienste Google hat, desto mehr werden auch zusammen genutzt. Allein wer “nur” die schnöde Google Suche benutzt gibt den Googleanern viele Daten und Infos Preis. Hier einmal eine Aufstellung welche Dienste Google so hat und welche Daten dadurch Google übermittelt werden…

• Adwords, Google kennt deinen Marketing Plan und die Suchwörter.
• Adsense, Google weiß auf welchen Seiten du wirbst und deine Kontodaten.
• Alerts, Google weiß was dich interessiert.
• Analytics, Google weiß welche Seiten du betreibst und wer deine Besucher sind.
• Blogger, Google weiß jedes Wort, jeden Link, einfach alles aus deinem blog.
• Kalender, Google kennt deine Termine, sowohl online und auch die offline Termine.
• Catalog search/Product Search, Google weiß was du kaufen möchtest.
• Chrome, Google weiß welche Seiten du besuchst, wenn sie es noch nicht über die Google Suche wußten.
• Desktop, Google weiß was du auf deinem PC alles so hast.
• Text und Tabellen, Google weiß welche Dokumente du hast und wer noch daran mitarbeitet.
• Earth, Google weiß welche Orte du dir auf der Welt ansiehst.
• FeedBurner, Google weiß deine Feedleser und kennt deine Blogs.
• Gmail, Google kennt deine Mail Freunde und kennt alle Inhalte deiner Mails.
• Groups, Google weiß deine Vorlieben und kennt deine Gruppen.
• Bilder suche, Google weiß welche Bilder du dir ansiehst.
• Local search, Google weiß wo du wohnst und wonach du suchst.
• Maps, Google weiß deine Routen und kennt deine Karten alle.
• Reader, Google weiß welche Blogs du liest.
• Suche, Google kennt jeden Suchbegriff von dir, den du jemals eingegeben hast.
• Talk, Google weiß wer deine Freunde sind.
• Toolbar, Google weiß welche Webseiten du dir ansiehst.
• Translate, Google weiß welche Übersetzungen du brauchst.
• Video, Google weiß welche Videos du dir ansiehst.
• YouTube, Google weiß wer deine Besucher deiner Videos sind und kennt all deine Videos. Ebenso woher sie kommen und welche Bewertungen und Kommentare sie gemacht haben.

Google hat eine neue Funktion eingebaut, denn mit jedem neuen Service wächst das Mißtrauen gegenüber Google und der User wüßte schon gerne was in Mountain View alles so gespeichert wird. Diese Funktion ist recht einfach zu finden. Dazu einfach in das Google Konto einloggen und dann unter “Einstellungen” “Google Konto Einstellungen” auf den Link “Daten anzeigen, die mit diesem Konto verknüpft sind.” klicken und schon werden einem alle relevanten Informationen angezeigt die mit dem eigenen Konto verbunden sind.

Dort sieht man dann wunderbar welche Google Dienste man alle selber nutzt und welche Daten dann pro Dienst damit verknüpft sind. Ebenfalls hat man dann dort die Möglichkeit jeden einzelnen Dienst zu ändern/ Profile zu bearbeiten oder anderen Einstellungen vorzuehmen. Auch die jeweiligen Datenschutzbestimmungen können pro Dienst eingesehen werden.

Wired.com hat den Hacker Chris Tarnovsky in seinem Labor besucht und ihm über die Schulter gesehen, wie er eine Sat Smart Card hackt. Das Video zeigt, das hier kein Anfänger mit Lupe und Pinzette am Werk ist, sondern ein Voll- Profi mit kompletten Labor und allem was dazu gehört.

Die Ausgangsituation

Wer Twitter nutzt wird sich auch irgendwann einmal einen Drittanbieter von Twitter ansehen oder zumindest diese zusätzlichen Dienste ausprobieren. Hier gibt es ja die verschiedensten Anbieter und es sind derzeit ca. 1800 die einen Service für Twitter anbieten. Das ganze fängt an bei Twitpic, wo der User Bilder hochladen kann und hört bei diversen analytischen Twitter Diensten auf… All diese Dienste sind “Drittanbieter” und haben mit Twitter nichts zutun. Sie werden von Twitter weder bezahlt bzw. gehören Twitter auch nicht direkt an.

Die Schnittstelle

Wenn ein Drittanbieter und Twitter kommunizieren, passiert dieses ausschließlich über die sogenannte “Oauth” Schnittstelle. Für den User sieht das so aus das er gefragt wird ob er es zulassen will, das sein Username und  insbesondere auch sein Passwort an den Drittanbieter weitergegeben wird. Man drückt also dann auf einen “Allow” Button und wird dann wieder zurück zur Anwendung geleitet. Mit dieser Aktion wird dem Drittanbieter das Username und das Passwort übermittelt ein Zugriffs-token übermittelt. Das ist für den User zwar sehr einfach aber auch gefährlich, weil man niemals nachvollziehen kann, was dieser Drittanbieter mit diesem token macht.

Die Phishing attacke

So kommt es immer häufiger vor, das ein Account gephished wird und einem dann zig Tweets mit falschem Inhalt untergejubelt werden. Meistens irgendwelche Pornospammer oder Portale, die einem das blaue vom Himmel versprechen. Das schlimme ist daran, das diese falschen Tweets, unter dem eigenen Namen abgesetzt werden und alle händisch wieder einzeln gelöscht werden müssen.

Die vermeintliche Lösung

Jetzt kommt man nach so einer Attacke auf die gloreiche Idee, einfach das Passwort zu ändern und ist somit dann der Meinung, das wieder Ruhe einkehrt und einem so ein Fehler nicht noch einmal unterlaufen wird… Weit gefehlt denn auch wenn das Twitter Passwort geändert wird, bleibt der sogenannt Token aktiv und Drittanbieter können nach wie vor über die Zugangsdaten verfügen. Ein einfaches Passwort ändern bringt also gar nichts. Jetzt hat man das Problem , das man sich ganz stark erinnern muss, wo denn überall schon ein Drittanbieter von einem selbst genutzt wurde und wird somit sehr schnell verzweifeln. Denn spätestens nach 2 Wochen erinnert man sich garantiert nicht mehr an einen Drittanbieter den man einmal ausprobiert hat, bzw. an diesem man sein persönliches Kennwort übermittelt hat.

Die Lösung

Die Lösung bietet Twitter selber an und ist auch recht einfach zu finden, wenn man denn weiß “wo” sie sich versteckt hat. Die Lösung sieht folgendermaßen aus.

1. Bei Twitter einloggen

2. Oben auf “Settings” klicken

3. Den Registerreiter “Connections” aufrufen

4. Dort werden dann alle offenen Drittanbieter aufgelistet. Hier einmal alle durchsehen und zum deaktivieren auf  “Revoke Access” klicken.

Dann sind alle offenen Türen wieder geschlossen. Zur eigenen Sicherheit und Vorbeugung: Beim nächsten Mal ganz genau überlegen, ob man auch wirklich diesen Service nutzen will und ob sich ein seriöser Anbieter dahinter verbirgt…